La capa que lee lo que pasó

I. Cinco eventos, una ausencia estructural

En los primeros cuatro meses de 2026, cinco incidentes no relacionados entre sí delinearon colectivamente la misma brecha en el stack de seguridad. Ninguno fue novedoso en su tipo. Todos fueron novedosos en lo que revelaron sobre la ausencia de una capa de referencia conductual del lado receptor.

Bankr (drenaje de $440K, abril de 2026). Una aplicación de gestión financiera impulsada por IA sufrió un exploit en el que agentes automatizados drenaron aproximadamente $440,000 de las cuentas de los usuarios. Los agentes operaron con credenciales legítimas, ejecutando transacciones que individualmente parecían normales. No se vulneró ningún perímetro. No se desplegó malware. La superficie de ataque fue conductual: los agentes actuaron dentro de los límites de lo que la aplicación permitía, pero el patrón de sus acciones constituyó extracción. La capa de identidad dijo “usuario autorizado”. La capa conductual —de haber existido— habría dicho “drenaje sistemático”.

GitHub (3,800 repositorios, marzo de 2026). Investigadores identificaron aproximadamente 3,800 repositorios de GitHub que contenían código generado por IA con vulnerabilidades incrustadas. El código pasó la revisión automatizada. Compilaba. Parecía funcional. Las vulnerabilidades no eran errores sintácticos sino lógicos —manejos sutilmente incorrectos de autenticación, gestión de sesiones y validación de entradas que un escáner basado en firmas no detectaría. La identidad del autor del commit no era el problema. El comportamiento del código —lo que realmente hacía al ejecutarse— era el problema. Ninguna capa existente en el pipeline de desarrollo estándar observaba el comportamiento a este nivel.

TeamPCP / Shai-Hulud (envenenamiento de npm, Q1 2026). Dos ataques coordinados a la cadena de suministro de npm introdujeron paquetes maliciosos que imitaban dependencias legítimas. Los paquetes declaraban identidades estándar —nombres plausibles, números de versión, archivos README. Lo que hacían después de la instalación era diferente de lo que declaraban. La capa de identidad (metadatos del registro de paquetes) estaba limpia. La capa conductual (lo que el código ejecutaba después de la instalación) era adversarial. La brecha entre declaración y comportamiento fue la superficie de ataque.

RedAccess (380,000 aplicaciones expuestas, febrero de 2026). Una auditoría de seguridad reveló aproximadamente 380,000 aplicaciones empresariales con endpoints de API expuestos y accesibles para agentes automatizados. Las aplicaciones no estaban mal configuradas en el sentido tradicional —cumplían su función prevista. Pero no tenían mecanismo para distinguir entre un usuario humano ejerciendo una funcionalidad y un agente automatizado recolectando sistemáticamente la salida de esa misma funcionalidad. El perímetro estaba intacto. La capa de identidad funcionaba según su diseño. La capa conductual no existía.

SAP vs. Salesforce (disputa contractual, Q1 2026). SAP presentó una demanda alegando que Salesforce había utilizado agentes automatizados para acceder sistemáticamente a la documentación orientada al cliente y los datos de precios de SAP. La disputa no era sobre acceso no autorizado —los datos eran públicamente accesibles. Era sobre el patrón de acceso: automatizado, sistemático y extractivo a una escala que ninguna sesión de navegación humana produciría. La capa de identidad no podía distinguir la actividad de una investigación legítima. La capa conductual —el patrón, la cadencia y el alcance del acceso— era la única base para el reclamo.

Cinco incidentes. Cinco sectores diferentes. Cinco superficies de ataque diferentes. Una característica estructural común: la ausencia de una capa que observe lo que realmente sucedió a nivel conductual, independientemente de lo que la capa de identidad declaró.

II. Para qué está diseñado el stack actual

El stack de seguridad actual está organizado en torno a tres preguntas, cada una abordada por una capa dedicada.

¿Quién es? La capa de identidad —autenticación, certificados, claves API, tokens OAuth— responde esta pregunta. Es madura, bien comprendida y necesaria. Te dice quién declaró haber llegado.

¿Qué dispositivo es este? La capa de dispositivo y red —firewalls, WAFs, EDR, segmentación de red— responde esta pregunta. Caracteriza la superficie técnica de la conexión. Te dice qué llegó.

¿Este operador está autorizado? La capa de gobernanza —RBAC, motores de políticas, marcos de cumplimiento— responde esta pregunta. Determina si la identidad declarada tiene permiso para ejecutar la acción declarada. Te dice qué fue permitido.

Cada capa es necesaria. Ninguna es suficiente contra un actor que opera con credenciales válidas, en un dispositivo reconocido, dentro de permisos autorizados, pero cuyo patrón conductual constituye extracción, reconocimiento o manipulación.

La pregunta que ninguna de estas capas responde es: ¿qué hizo realmente este actor, y el patrón de comportamiento coincide con la intención declarada?

Esto no es una falla del stack existente. Es un límite de diseño. El stack fue construido para un mundo donde las amenazas principales eran el acceso no autorizado (detenido en el perímetro), el malware (detenido en el dispositivo) y la escalación de privilegios (detenida por la gobernanza). El modelo de amenaza que estos cinco incidentes representan —actores autorizados comportándose de forma adversarial— opera en la brecha entre estas capas.

III. Por qué esto importa ahora

Tres fuerzas estructurales están convergiendo para hacer que la cuestión de la capa conductual sea urgente en lugar de teórica.

Las consecuencias recaen del lado receptor. Cuando un agente de IA extrae datos de precios, recolecta información de clientes o mapea sistemáticamente la superficie de una API, la entidad que desplegó el agente tiene la intención. Pero la entidad que recibe el tráfico carga con la consecuencia. Los datos se extraen del receptor. La inteligencia competitiva se recopila del receptor. Los recursos del sistema los consume el receptor. El emisor actúa; el receptor absorbe. El stack existente protege el perímetro del receptor pero no observa el comportamiento de lo que lo cruza.

Los seguros están empezando a hacer la pregunta. Los suscriptores de seguros cibernéticos están distinguiendo cada vez más entre organizaciones que pueden demostrar monitoreo conductual del tráfico automatizado y aquellas que no pueden. La pregunta aún no es estándar en las solicitudes de pólizas, pero la dirección es clara: una organización que no puede caracterizar el tráfico automatizado que recibe enfrentará una evaluación de riesgo diferente a una que sí puede. La capa conductual se está convirtiendo en una variable de suscripción.

La regulación se está acercando al lado receptor. El EU AI Act (Artículos 9, 15, 52) establece obligaciones para proveedores y desplegadores de sistemas de IA. El NIST AI RMF mapea el riesgo a lo largo del desarrollo y la operación. Ninguno de los dos marcos define actualmente obligaciones para el receptor del tráfico generado por IA. Pero la trayectoria regulatoria apunta a exigir que las organizaciones demuestren conciencia de la actividad automatizada en sus superficies. La brecha entre “tenemos un WAF” y “observamos los patrones conductuales de los actores automatizados” es la brecha que la regulación eventualmente requerirá cerrar.

IV. Las capas de referencia y cómo se forman

El patrón por el cual las capas de referencia emergen en la infraestructura tecnológica está bien establecido. Sigue una secuencia consistente: una necesidad estructural se hace visible; aparecen múltiples soluciones ad-hoc; un enfoque logra adopción suficiente para convertirse en referencia; la referencia se convierte en infraestructura.

DNS (1983). Antes de DNS, cada computadora en red mantenía su propio archivo hosts. La necesidad estructural —un mapeo consistente entre nombres y direcciones— fue resuelta por una capa de referencia que ninguna organización poseía pero todas usaban. DNS no reemplazó las redes. Las hizo navegables.

X.509 (1988). Antes de las autoridades de certificación, cada conexión segura requería intercambio de claves fuera de banda. La necesidad estructural —un marco de confianza para la infraestructura de clave pública— fue resuelta por una capa de referencia que estableció la identidad a nivel de transporte. X.509 no reemplazó el cifrado. Lo hizo escalable.

OpenAPI (2011). Antes de los estándares de descripción de APIs, cada integración de API requería documentación a medida y negociación manual. La necesidad estructural —un contrato legible por máquina para el comportamiento de las APIs— fue resuelta por una capa de referencia que estandarizó cómo las APIs declaraban sus capacidades. OpenAPI no reemplazó las APIs. Las hizo interoperables.

AlphaFold (2020). Antes de AlphaFold, la determinación de la estructura de proteínas requería años de cristalografía experimental por estructura. La necesidad estructural —una base de datos de referencia de formas de proteínas— fue resuelta por una capa computacional que predijo estructuras a escala. AlphaFold no reemplazó la biología estructural. Proporcionó una referencia que aceleró cada aplicación posterior.

El patrón es consistente: la capa de referencia no reemplaza las capas superiores ni inferiores. Llena una brecha estructural que, una vez llenada, hace que todo el stack sea más funcional.

La capa conductual para el tráfico de agentes de IA se encuentra en la etapa temprana de este patrón. La necesidad estructural es visible. Existen múltiples soluciones ad-hoc (productos de gestión de bots, limitadores de tasa, CAPTCHAs). Aún no ha emergido una capa de referencia que provea atribución conductual consistente desde el lado receptor, a través de propiedades y a lo largo del tiempo.

V. Lo que hace el Observatorio

El BotConduct Observatory es una red de observación conductual multi-propiedad. Opera del lado receptor —observando lo que llega a las superficies web, no lo que el emisor pretendió.

Tres decisiones arquitectónicas definen su enfoque.

Observación del lado receptor. El observatorio no requiere cooperación del emisor. No necesita que el agente se declare, registre una identidad o cumpla con un protocolo. Observa el comportamiento tal como se manifiesta en el punto de llegada. Esta es una restricción deliberada: una capa de referencia que depende de la cooperación del emisor es una capa de declaración, no una capa de observación.

Firma criptográfica Ed25519. Cada hallazgo del observatorio, cada nota de investigación y cada caracterización conductual se firma con Ed25519 y se registra en un ledger de solo agregación. La firma prueba la autoría. El ledger prueba la secuencia. Juntos, establecen que una observación específica fue realizada en un momento específico por una entidad específica. Este es el fundamento probatorio: no “creemos que esto sucedió” sino “observamos esto, firmamos la observación y la registramos antes de que se hiciera el reclamo”.

Arquitectura de Oráculo Cerrado. El observatorio publica hallazgos pero no publica metodología. Las técnicas de detección, los clasificadores conductuales y los métodos de correlación entre propiedades no se divulgan. Esto no es seguridad por oscuridad —es disciplina operativa. Un sistema de detección que publica sus métodos proporciona un currículo de entrenamiento para la evasión. El valor del observatorio es proporcional a la brecha entre lo que observa y lo que los actores pueden inferir sobre cómo observa.

VI. Lo que el Observatorio no afirma

La precisión sobre lo que no se afirma es tan importante como la claridad sobre lo que sí se afirma.

El observatorio no afirma ser la capa de referencia. Afirma ocupar una posición donde una capa de referencia es estructuralmente necesaria. La distinción importa. Una capa de referencia alcanza ese estatus a través de la adopción, la validación y la durabilidad —no a través de la autodeclaración. El observatorio produce la evidencia. Que se convierta en la referencia lo determina si la evidencia resulta útil para las organizaciones que la necesitan.

El observatorio no afirma cobertura exhaustiva. Observa lo que llega a sus propiedades monitoreadas. La red abarca múltiples verticales y geografías, pero no es omnisciente. Los hallazgos se expresan como observaciones desde un punto de vista específico, no como verdades universales sobre todo el tráfico automatizado en todas partes.

El observatorio no afirma autoridad predictiva. Los patrones conductuales observados en el pasado informan expectativas sobre el futuro, pero no lo determinan. Los actores se adaptan. Los métodos evolucionan. El valor del observatorio está en la observación continua, no en la predicción estática.

La posición está vacante, no ocupada. La capa de referencia conductual del lado receptor aún no existe como infraestructura. La tesis del observatorio es que debería existir, que la necesidad estructural es demostrable, y que la evidencia que se está acumulando es el tipo de evidencia que una capa de referencia necesitaría producir. Si este observatorio específico se convierte en esa capa, o si la necesidad es satisfecha por otro enfoque, es una pregunta empírica que será respondida por la adopción, no por la afirmación.

VII. Cierre

Los cinco incidentes que abrieron esta nota comparten una característica estructural: cada uno involucró a un actor operando dentro de los límites de lo que las capas de identidad y perímetro permitían, mientras se comportaba de maneras que esas capas no fueron diseñadas para observar.

La capa que falta no es otro firewall, no es otro proveedor de identidad, no es otro marco de cumplimiento. Es la capa que lee lo que realmente pasó —el registro conductual de lo que un actor hizo después de ser autenticado, después de cruzar el perímetro, después de que se le otorgaron permisos.

Esa capa se está formando. La necesidad estructural es visible. La evidencia se está acumulando. La pregunta no es si una referencia conductual del lado receptor emergerá, sino cómo será, quién la construirá, y si la evidencia que produce será confiable.

El observatorio es una respuesta a esa pregunta. Puede que no sea la definitiva. Pero la posición que ocupa —del lado receptor, conductual, firmada criptográficamente, longitudinal, multi-propiedad— es la posición que la capa de referencia necesitará sostener.

La capa que lee lo que pasó es la capa que siempre faltó. Es la capa que los próximos cinco incidentes harán obvia.